厂商 :上海赛谷信息科技有限公司
上海 上海- 主营产品:
- ISO9001认证
- ISO27001认证
- ISO20000认证
联系电话 :13524162964
商品详细描述
4. ISO27001风险评估和处理
4.1评估安全风险
ISO27001风险评估应以风险承受与组织相关的目标等准则,将风险识别、量化、以及优先级排序。其结果应当指导与决定适当的管理行动、管理信息安全风险的优先级、实施选择保护该风险的控制。评估风险与选择控制措施的过程可能需要履行数次以涵盖组织或个别信息系统的不同部份。
风险评估应包括估计风险值的系统化方法(风险分析),比较估计风险与风险准则来决定风险的重要性(风险评价)的过程。
ISO27001风险评估应定期执行评审以处理安全要求和风险情形的变更,例如:资产、威胁、脆弱性、冲击、风险评价等,重大发生变更发生时亦同。风险评估应有条理有系统的方式进行,才能产生可比较与重制的结果。
信息安全风险评估应有清楚定义的范围以使有效。
只要是实用、实际、有帮助的,风险评估的范围为整个组织、部份组织、个别信息系统、特定的系统组件、或服务。风险评估方法论的范例于 ISO/IEC TR13335-3中讨论(IT安全管理的指导纲要:IT安全管理的技术)
4.2处理安全风险
考虑风险处理之前,组织应决定是否承受风险的决定准则。风险是可被承受的,例如在风险评估为低风险或处理风险的成本对组织没有成本的效率时。此决定应被记录。风险评估后识别出的每项风险,均需做处理安全风险的决策。风险处理的可能选项包括:
a) 采用适当的控制措施来降低风险
b) 有意/客观的承受风险,只要风险能满足组织风险承受的策略与条件
c) 使用不容许会导致风险发生的动作以避风险
d) 转移相关风险至其它方,如保险公司或供货商
对风险处理决策为采取适当的控制措施的风险,应选择及实施控制措施以达到风险评估所识别的要求。控制措施应确保风险降低至可接受程度,考虑下列因素:
a) 国家和国际法律/法令规定的要求和限制
b) 组织目标
c) 业务要求和限制
d) 降低风险相关的实施和运行成本,并维持和组织要求与限制的均衡
e) 平衡控制措施实施与操作的投资与安全失效可能导致伤害的需要
控制措施可由本标准或其它控制措施集中选择,或设计新控制措施以达到组织的特定要求。必须承认某些控制措施无法应用于每个信息系统或环境,也无法实用于所有组织。例如:10.1.3描述职责可区隔为预防诈骗与错误。较小的组织可能无法区分所有的职责,需要以其它方式达到相同的控制目标。另例:10.10描述如何监控系统使用和收集证据。其描述的控制,如事件日志,可能与可用的法律如客户或工作场所的隐私保护冲突。
信息安全控制应在系统与计划的要求规范与设计阶段考虑(在系统的规划要求规范与设计阶段时考虑)。未如此做能导致额外的成本和较无效的解决方法,最坏的情况可能是无法达到足够的安全性。
应注意没有任何一套控制措施可达到完全的安全,应实施额外的管理动作以监控、评估、及改善安全控制的效率与有效性来支持组织的目标ISO27001http://itsm-ap.com/home.php。CMMI,ISO20000,IPD
4.1评估安全风险
ISO27001风险评估应以风险承受与组织相关的目标等准则,将风险识别、量化、以及优先级排序。其结果应当指导与决定适当的管理行动、管理信息安全风险的优先级、实施选择保护该风险的控制。评估风险与选择控制措施的过程可能需要履行数次以涵盖组织或个别信息系统的不同部份。
风险评估应包括估计风险值的系统化方法(风险分析),比较估计风险与风险准则来决定风险的重要性(风险评价)的过程。
ISO27001风险评估应定期执行评审以处理安全要求和风险情形的变更,例如:资产、威胁、脆弱性、冲击、风险评价等,重大发生变更发生时亦同。风险评估应有条理有系统的方式进行,才能产生可比较与重制的结果。
信息安全风险评估应有清楚定义的范围以使有效。
只要是实用、实际、有帮助的,风险评估的范围为整个组织、部份组织、个别信息系统、特定的系统组件、或服务。风险评估方法论的范例于 ISO/IEC TR13335-3中讨论(IT安全管理的指导纲要:IT安全管理的技术)
4.2处理安全风险
考虑风险处理之前,组织应决定是否承受风险的决定准则。风险是可被承受的,例如在风险评估为低风险或处理风险的成本对组织没有成本的效率时。此决定应被记录。风险评估后识别出的每项风险,均需做处理安全风险的决策。风险处理的可能选项包括:
a) 采用适当的控制措施来降低风险
b) 有意/客观的承受风险,只要风险能满足组织风险承受的策略与条件
c) 使用不容许会导致风险发生的动作以避风险
d) 转移相关风险至其它方,如保险公司或供货商
对风险处理决策为采取适当的控制措施的风险,应选择及实施控制措施以达到风险评估所识别的要求。控制措施应确保风险降低至可接受程度,考虑下列因素:
a) 国家和国际法律/法令规定的要求和限制
b) 组织目标
c) 业务要求和限制
d) 降低风险相关的实施和运行成本,并维持和组织要求与限制的均衡
e) 平衡控制措施实施与操作的投资与安全失效可能导致伤害的需要
控制措施可由本标准或其它控制措施集中选择,或设计新控制措施以达到组织的特定要求。必须承认某些控制措施无法应用于每个信息系统或环境,也无法实用于所有组织。例如:10.1.3描述职责可区隔为预防诈骗与错误。较小的组织可能无法区分所有的职责,需要以其它方式达到相同的控制目标。另例:10.10描述如何监控系统使用和收集证据。其描述的控制,如事件日志,可能与可用的法律如客户或工作场所的隐私保护冲突。
信息安全控制应在系统与计划的要求规范与设计阶段考虑(在系统的规划要求规范与设计阶段时考虑)。未如此做能导致额外的成本和较无效的解决方法,最坏的情况可能是无法达到足够的安全性。
应注意没有任何一套控制措施可达到完全的安全,应实施额外的管理动作以监控、评估、及改善安全控制的效率与有效性来支持组织的目标ISO27001http://itsm-ap.com/home.php。CMMI,ISO20000,IPD
相关产品推荐
